可能存在SQL注入的地方?
与数据库有交互,一般都存在注入
判断条件:
参数用户可控
参数可带入数据库查询
手动注入的流程:
1、判断注入点
2、判断字段数
如数据库某一张表,有三个字段,字段数即为3,第一列对应1,第二列对应2,依次类推。
用order by进行排序操作;order by N 从1开始逐渐递增,直到报错, N-1就为总列数。
3、判断回显点
回显就是显示在页面上的地方,找到回显位置后,再将列名修改为需要显示的字段
4、查询相关内容
与数据库有交互,一般都存在注入
参数用户可控
参数可带入数据库查询
1、判断注入点
2、判断字段数
如数据库某一张表,有三个字段,字段数即为3,第一列对应1,第二列对应2,依次类推。
用order by进行排序操作;order by N 从1开始逐渐递增,直到报错, N-1就为总列数。
3、判断回显点
回显就是显示在页面上的地方,找到回显位置后,再将列名修改为需要显示的字段
4、查询相关内容
本文标题:SQL注入
本文链接:https://www.haomeiwen.com/subject/ouwdwctx.html
网友评论